Gå til hovedsiden

Forsømmer du sikkerheten i din bedrift?

Espen Johansen er Operations and Security Manager i Visma. Han ser at kompleksiteten og størrelsen på IT-angrep øker. Konsekvensene kan være enorme. Få kontroll på sikkerheten i din bedrift.

IT-sikkerhet Norge
Espen Johansen i Visma

– Når stadig flere enheter kobles til internett, øker sjansen for et digitalt angrep. Både typen angrep, kompleksiteten og størrelsen på angrepene øker hele tiden, forklarer Espen.

Selv om teknologi bidrar positivt for norske bedrifter, både gjennom effektivisering og kostnadsbesparelser, vil det også kreve en endring og omstilling i måten du jobber på.

– I den sammenheng tror jeg mange bedrifter glemmer noe av det viktigste, nemlig sikkerhetsaspektet, forklarer han.

Unngå sikkerhetshull og hendelsesdrevet brannslukking

Ifølge sikkerhetssjefen tror mange ledere at ansvaret for IT-sikkerhet ligger i andres hender enn sine egne. Som regel foregår sikkerhetsarbeidet på en hendelsesdrevet måte hvor tiltak iverksettes når det oppdages brudd på sikkerheten. 

Mørketallsundersøkelsen som kartlegger IT-tilstanden i privat og offentlig næringsliv, oppsummerer 2022 slik:

  • Det systematiske arbeidet med digital sikkerhet har stagnert hos de store virksomhetene og gått noe tilbake i de mindre.
  • En stor andel hendelser oppdages ved en tilfeldighet uten at virksomhetene synes å ha en klar formening om når hendelsen inntraff eller den faktiske årsaken til hendelsen.
  • Av reaktive tiltak som fremheves av respondentene etter en hendelse ser vi en god balanse mellom teknologiske-, organisatoriske og menneskelige tiltak.
  • To tredjedeler av virksomhetene involverer ledelsen og styre når en hendelse inntreffer.

Last ned sjekkliste for IT-sikkerhet i din bedrift her.

Hovedinntrykket er at arbeidet med digital sikkerhet fortsatt er hendelsesdrevet, men det siste punktet gir grunn til optimisme. Ledelsesforankring er en forutsetning, men ikke i seg selv tilstrekkelig, for systematisk proaktivt arbeid med digital sikkerhet i norske virksomheter.

Slik lykkes du med endringsledelse.

Intern opplæring har stor betydning! 

– Norske ledere mangler både den kunnskapen og kompetansen som kreves for å kunne analysere farer på nettet. De vet derfor heller ikke hvilken risiko de tar på vegne av selskapet. Det utgjør en fare for at de prioriterer feil og sensitiv data kommer på avveie.

Sikkerhetsbevisstheten til ansatte i norske virksomheter er generelt lav. 

Drøyt halvparten av virksomheter med fem ansatte eller flere, har i løpet av det siste året gjennomført tiltak for å øke de ansattes bevissthet rundt sikkerhet. 

Når menneskelige feil som for eksempel å trykke på lenker i e-poster utgjør hele 37 prosent av årsakene til hendelsene, tilsier dette at virksomheter fremdeles må jobbe med holdningsskapende arbeid rundt sikkerhet. Dette skjer best gjennom intern opplæring, e-læring og kampanjer. Opplæringen bør skje med jevne mellomrom for holde bevisstheten oppe. Bruk av to-faktor autentisering er også sterkt anbefalt for å redusere antallet vellykkede sikkerhetshendelser.

– Tallene vitner om at sikkerhet ikke har høy nok prioritet i norske bedrifter. Alle bedriftsledere bør som minimum sørge for at alle ansatte har grunnleggende kompetanse i IT-sikkerhet. Alle trenger ikke å forstå alt, men alle trenger å forstå det grunnleggende, slik som for eksempel gode passordrutiner, sier Espen.

Sikkerhet for bedriften i skyen

Utfordringene med skybaserte systemer og IT-sikkerhet betyr ikke at du skal unngå å gå til skyen. Heller tvert om. Det handler rett og slett om at du må skaffe den rette kompetansen som følger opp bedriftens IT-sikkerhet på en ivaretakende måte som følger alle lover og regler.

– Bedrifter er ofte skeptiske til skybaserte systemer, dessverre uten grunn. Skyen gir nemlig store muligheter til å forbedre IT-sikkerheten i bedriften. Skytjeneste-leverandører kan bruke de mest avanserte beskyttelsesmekanismene som finnes på markedet. Det er mye mer enn du klarer å håndtere på egenhånd, sier Espen.

Han påpeker at dette er særlig viktig for mindre bedrifter som ikke har ressurser eller spesialkompetanse internt.

– Det er utrolig komplisert å drive en skytjeneste som skal være tilgjengelig, sikker og stabil. Det krever spesialistkompetanse og kontinuerlig oppfølging. Mitt beste råd til bedrifter er derfor å la noen andre enn deg selv ta hovedansvaret for denne jobben, oppfordrer han.

Hackere hjelper med å finne sikkerhetshull

I likhet med mange store selskaper verden over, som Google og Amazon, har Visma åpnet opp for at dyktige hackere rundt om i verden kan utfordre Vismas systemer og programvare, gjennom å lete etter sårbarheter. Når hackerne oppdager sårbarhet, må de rapportere dette gjennom Vismas BugBounty-program. Hackere som ikke er en del av Vismas Bug Bounty-program, kan rapportere sine funn. Visma forplikter seg til å fikse sårbarhetene hackerne eventuelt avdekker.

– Man må skille mellom hackere med dårlige intensjoner, og hackere med gode intensjoner. Sistnevnte er eksperter på IT og data, og har en helt unik kompetanse som bedrifter verden over er avhengig av, sier Espen.

Velg en leverandør som tar sikkerhet på alvor

Hvor dataene dine befinner seg er ikke avgjørende. Sikkerhetsrutiner knyttet til hvordan dataene behandles er derimot avgjørende. Det sikrer du  

Mange bedrifter tror at det er plasseringen av bedriftens data som er avgjørende, men i virkeligheten er det prosedyrer knyttet til sikkerhet og behandlingen av data og bedriftens infrastruktur som er det viktigste. Ved å velge riktig leverandør, kan du redusere sikkerhetsrisikoen til et minimum.

– Sørg alltid for å velge en leverandør som tar IT-sikkerhet på alvor. Du må kunne stole på at din leverandør vil gjøre alt som står i sin makt for å beskytte deg, og også alltid fortelle deg det hvis noe galt skulle skje.

Les mer: Derfor valgte Apotekforeningens IT-sjef denne bestemte ERP-løsningen.

Mest populære